กลุ่มแฮ็กชาวจีนเปิดตัวการโจมตีระดับโลก VPNoverview.com

บริษัท รักษาความปลอดภัยชาวดัตช์ชื่อ Fox-IT เปิดเผยในวันนี้ว่ารายงานการสอบสวนจารกรรมไซเบอร์ของจีน ในช่วงสองปีที่ผ่านมาระบบคอมพิวเตอร์ของ บริษัท และสถาบันรัฐบาลทั่วโลกถูกโจมตี ชาวดัตช์สรุปด้วยความมั่นใจระดับสูงว่ากลุ่มแฮ็คชาวจีนอยู่เบื้องหลังการโจมตี.


ค้นพบแคมเปญจารกรรมไซเบอร์ทั่วโลก

การสอบสวนชื่อ“ Operation Wocao” (我操,“ Wǒcāo” ในภาษาจีนสแลงสำหรับ“ อึ” หรือ“ แช่ง”) เกิดขึ้นในช่วงเวลาเกือบสองปี นักวิจัยด้านความมั่นคงของเนเธอร์แลนด์กล่าวว่าหลักฐานทั้งหมดชี้ไปที่กลุ่มแฮ็คชาวจีนที่เรียกว่า APT20 ซึ่งน่าจะทำงานเพื่อผลประโยชน์ของรัฐบาลจีน.

Fox-IT ค้นพบแคมเปญแฮ็คของกลุ่มในช่วงฤดูร้อนปี 2018 ในขณะที่ดำเนินการวิเคราะห์ระบบคอมพิวเตอร์ที่ถูกบุกรุกสำหรับลูกค้ารายหนึ่ง พวกเขาสามารถติดตามเส้นทางและค้นพบการโจมตีที่คล้ายกันหลายสิบครั้งที่ดำเนินการโดยกลุ่มเดียวกัน.

ในรายงานความยาวชาวดัตช์อธิบายว่า“ มีคนรู้จักหรือเผยแพร่น้อยมากเกี่ยวกับนักแสดงที่เราอธิบาย แต่แทนที่จะให้นามแฝงของนักแสดงคนนี้เป็นของเราเองเราเลือกที่จะติดต่อกับพันธมิตรในอุตสาหกรรม สิ่งนี้ช่วยให้เราระบุถึงเทคนิคและเครื่องมือที่ไม่ได้เผยแพร่ก่อนหน้านี้บางส่วนในรายงานนี้ด้วยความมั่นใจปานกลางสำหรับนักแสดงการคุกคามจีนที่รู้จักในชื่อ APT20 จากผู้ที่ตกเป็นเหยื่อการสังเกตของนักแสดงคนนี้เราประเมินว่านักแสดงขู่คนนี้น่าจะทำงานเพื่อผลประโยชน์ของรัฐบาลจีน”

เป้าหมายไม่ใช่เงิน แต่เป็นความรู้

แฮกเกอร์ไม่ขโมยเงินหรือติดตั้ง Ransomware พวกเขากำลังมองหาข้อมูลและความรู้ทางธุรกิจที่ละเอียดอ่อนซึ่งเป็นสิ่งที่รัฐบาลจีนโดยเฉพาะจะสนใจ.

จำนวนข้อมูลที่ผู้โจมตีสามารถจัดการได้ในช่วงไม่กี่ปีที่ผ่านมาไม่สามารถยืนยันได้อย่างแน่นอน สิ่งที่เป็นที่รู้จักคือระหว่างปี 2009 ถึงปี 2014 APT20 (หรือที่รู้จักกันในชื่อ Violin Panda และ th3bug) เกี่ยวข้องกับการแฮ็คแคมเปญที่กำหนดเป้าหมายไปยังมหาวิทยาลัยทหารหน่วยงานด้านการดูแลสุขภาพและ บริษัท โทรคมนาคม.

จากข้อมูลของ Fox-IT กลุ่มแฮ็คชาวจีนยังคงนิ่งเงียบเป็นเวลาหลายปี อย่างไรก็ตามเพิ่งมีการค้นพบใหม่และมีการตั้งเป้าหมายกับ บริษัท และหน่วยงานรัฐบาลอย่างเงียบ ๆ.

เทคนิคการใช้นวนิยายบางอย่าง

รายงานแสดงภาพรวมของเทคนิคที่นักวิจัยด้านความปลอดภัยชาวดัตช์รู้ว่าใช้ APT20 จุดเริ่มต้นของการเข้าถึงมักจะเป็นเว็บเซิร์ฟเวอร์ที่มีช่องโหว่หรือมีช่องโหว่อยู่แล้ว เมื่อเข้าไปข้างในแล้วแฮกเกอร์ก็เคลื่อนผ่านเครือข่ายโดยใช้วิธีที่รู้จักกันดี ในที่สุดพวกเขาสามารถใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าถึงเครือข่ายของเหยื่อผ่าน VPN ขององค์กร.

ในกรณีหนึ่งกลุ่มแฮ็กเกอร์ยังสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยที่มีวัตถุประสงค์เพื่อป้องกันการโจมตีดังกล่าว แฮกเกอร์ได้พัฒนาเทคนิคเพื่อดึงรหัส 2 ตัวเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ VPN ของ บริษัท และให้สิทธิ์ในการเข้าสู่ระบบด้วยตนเองนอกจากนี้ยังพบเครื่องมือที่ทำเองอื่น ๆ.

ถัดไปแฮกเกอร์ใช้เครื่องมือลับๆและเครื่องมือโอเพนซอร์สหลายตัวเพื่อแทรกซึมเข้าไปในเครือข่ายเพิ่มเติมเพื่อระบุและรวบรวมข้อมูลด้วยตนเอง หลังจากดาวน์โหลดข้อมูลแล้วการติดตามทั้งหมดจะถูกลบเพื่อขัดขวางการตรวจสอบทางนิติวิทยาศาสตร์ในเชิงลึกและแบ็คดอร์ถูกปิด.

ผู้ประสบภัยจำนวนมากทั่วโลก

Fox-IT ไม่ต้องการพูดถึงชื่อของผู้ที่ตกเป็นเหยื่อ แต่ชาวดัตช์ให้รายชื่อภาคที่ APT20 เปิดใช้งานอยู่.

ผู้ที่ตกเป็นเหยื่อ ได้แก่ บริษัท การบิน บริษัท ก่อสร้างภาคพลังงานสถาบันการเงินองค์กรด้านการดูแลสุขภาพ บริษัท วิศวกรรมนอกชายฝั่งผู้พัฒนาซอฟต์แวร์และ บริษัท ขนส่ง.

ประเทศที่ได้รับผลกระทบ ได้แก่ บราซิล, จีน, ฝรั่งเศส, เยอรมันนี, อิตาลี, เม็กซิโก, โปรตุเกส, สเปน, สหรัฐอเมริกาและสหราชอาณาจักร.

ข้อผิดพลาดหลายประการที่กลุ่มแฮ็คจีนทำขึ้น

ในระหว่างการจารกรรมแฮ็กเกอร์ทำผิดพลาดหลายครั้งทิ้งไว้เบื้องหลัง“ ลายนิ้วมือ”.

ตัวอย่างเช่น,

  • มีการตั้งค่าภาษารั่วไหลออกมาบางอย่างซึ่งบ่งชี้ว่าแฮกเกอร์กำลังเรียกใช้เบราว์เซอร์ที่มีการตั้งค่าภาษาจีน.
  • เมื่อลงทะเบียนเซิร์ฟเวอร์ที่ให้เช่าแฮ็กเกอร์ระบุที่อยู่ที่ไม่มีอยู่จริงของสหรัฐอเมริกา แต่เขียนชื่อรัฐลุยเซียนาเป็นตัวอักษรจีนโดยไม่ตั้งใจ.
  • จนถึงจุดหนึ่งแฮกเกอร์ใช้รหัสที่สามารถพบได้ในฟอรัมจีนเท่านั้น.

หลังจากนั้นไม่นานนักวิจัยด้านความปลอดภัยชาวดัตช์ก็เริ่มสังเกตเห็นว่าแฮ็คเกอร์ปฏิบัติตามเวลาทำการของจีนอย่างเคร่งครัด.

ชื่อการสอบสวนของ Fox-IT“ Operation Wocao” เป็นหนึ่งในคำสั่งที่แฮ็กเกอร์ดำเนินการเพื่อพยายามเข้าถึง webshells ที่ถูกลบหลังจาก Fox-IT กลับด้านการบุกรุกแบบดิจิตอล.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me